สำหรับ Blog นี้เป็นเดินทางมาไกลเลย จากวงเวียนใหญ่ มาตรง MFEC กว่าจะออกมาได้ CI Test พังด้วย 555 แต่พอเดาสาเหตุได้และ เลยรีบมาฟัง OWASP Top 10 CI/CD Security Risks ที่จัดโดยทาง OWASP Bangkok Chapter และ 2600Thailand ครับ แชร์โดยคุณณัฐวรพงษ์ ลอยไสว จาก Shipty ครับ สำหรับหัวข้อที่จดๆมาประมาณนี้ครับ CI / CD คือ อะไร ? CI /…
สำหรับงานนี้เป็น On-Site อีกงานที่ทาง OWASP Bangkok Chapter / 2600 Thailand / Microsoft Thailand จัดงานร่วมกันครับ และเป็นงานที่ Dev อย่างผมน่าจะฟังเข้าใจด้วยครับ เลยลองมาดู OWASP Top 10 API Risk ซึ่งแชร์โดย คุณ Krischat Thataristorai จาก Secure D Center Co., Ltd. อ้างอิงจาก OWASP API Security Project 2023RC สำหรับที่ผมลองจดๆมาจะมีดังนี้ครับ API…
งานนี้ผมเข้ามาแบบงงๆ นะครับ พอดีมีคนแชร์ลิงค์เค้ามาครับ เลยเข้ามาในฐานศิษย์เก่า ป.โท มาฟังและมีสรุป Blog เล็กน้อยๆกันครับ การทำให้ Application ปลอดภัยต้องเริ่มตั้งแต่ตอนออกแบบระบบ (Secured by Design) ภัยคุกคามส่วนใหญ่มาจากโลก Online มาขึ้น Web Application ในส่วนที่สำคัญ เช่น การเงิน Secure SDLC Planning: Training ให้ / Security Requirement / ที่สำคัญดูกฏด้วย เช่น BOT กลต Design: ทำ Thread Modeling /…
สำหรับ Blog นี้เป็นการเก็บตกหลังประเมินไปแล้วนะครับ ผมเลยมาขอสรุปว่า Practice Area PI กับ TS มัน คือ อะไร PI กับ TS เป็น Practice Area เฉพาะในส่วนของ CMMI DEV PI กับ TS อยู่ใน Engineering & Developing Product (EDP) หลังจากรู้แบบกว้างๆกันแล้ว กลับมาดูที่ละ Practices Area ว่าเน้นอะไรกัน ตาม Intent และ Value ที่ได้ครับ…
สำหรับวันนี้เป็น Blog สรุปจาก Session Secure Design: Threat Modelling โดยคุณนฤดม รุ่งศิริวงศ์ คร้บ โดยก่อนจะรู้จักกับ Threat Modelling ต้องมารู้จักกับคำว่า Attack Surface กันก่อนครับ Application Security Risk When We Do Threat Modeling ทำตั้งแต่ช่วง Phase Design เพราะการเจอปัญหาก่อน มันช่วยลด Cost ในการปรับปรุงแก้ไขได่เยอะ Attack Surface จุดเสื่ยงมีเปิดโอกาศในเกิดการโจมตีระบบได้ เพื่อให้ทราบว่า ส่วนไหนของระบบที่ต้องมีการ Review /…
จริงๆ มางาน Code Mania 101 เพราะ Session นี้เลยครับ เนื่องจาก Project ที่ยื่นเข้าประกวดล่าสุดติดปัญหาทาง Technical เยอะพอสมควรเลย และเรื่อง Security เป็นหนึ่งในนั้นครับ สำหรับ Session เป็นกูรูด้าน Security พี่นฤดม รุ่งศิริวงศ์ ครับ Software Security Fundamental Security Software Security (3R) Security Concept Coding Security Practices 1. Input Validation อะไรที่เป็น Input…
พอดีได้รับ Service Incident จาก Site ลูกค้า เมื่อวันจันทร์ที่ผ่านมา โดยที่ Site ลูกค้ามีการจ้างทีมงานภายนอกเข้าทำ Penetration Test(ทดลองเจาะระบบ เพือดูระบบเรามีความมั่นคงในระดับไหน) โดยผลที่ได้รับ คือ Sensitive Data Exposure(SSH Weak Algorithms Supported) โดยในวันนี้วันพุธ ผมเลยเข้ามาประชุมที่ Site ครับ เพื่อมาดูตัวรายงานฉบับสมบูรณ์ครับ มันเลยเป็นที่มาของ Blog นี้แหละ ที่จะมาสรุปสิ่งที่ได้จากการเข้าประชุมนะครับ Sensitive Data Exposure คือ อะไร ตัว Sensitive Data Exposure(SDE) คือ ช่องโหว่ที่ยอมให้ผู้ไม่หวังดีเข้าถึงข้อมูลของระบบที่เป็นความลับได้…
